一、引言

Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。

rootkit檢測(cè)也成為主機(jī)安全一項(xiàng)重要功能，針對(duì)rootkit中最常見隱藏進(jìn)程、端口檢測(cè)，主要分為兩種檢測(cè)思路，一種基于內(nèi)核內(nèi)存分析，一種基于應(yīng)用層分析。

基于內(nèi)存分析Rootkit檢測(cè)可參考Rootkit檢測(cè)，該方案缺點(diǎn)是需要增加內(nèi)核模塊，風(fēng)險(xiǎn)高，檢測(cè)效果相對(duì)較好。

本文介紹第二種方案，unhide在應(yīng)用層發(fā)現(xiàn)隱藏進(jìn)程、端口，該方案風(fēng)險(xiǎn)小，可集成到主機(jī)安全agent中。

[[260779]]

二、應(yīng)用層隱藏進(jìn)程檢測(cè)

1. 進(jìn)程隱藏和檢測(cè)方式

進(jìn)程隱藏兩種方式：

• 替換ps命令，在讀取/proc/pid目錄時(shí)，過濾掉需隱藏進(jìn)程信息
• 加載內(nèi)核模塊，通過攔截proc文件系統(tǒng)的回調(diào)函數(shù)，過濾掉需隱藏進(jìn)程信息

檢測(cè)核心思想：

通過libc系統(tǒng)函數(shù)盲測(cè)進(jìn)程pid的存活狀態(tài)，再根據(jù)ps結(jié)果對(duì)比差異，判斷該pid是隱藏進(jìn)程。

unhide提供如下19種檢測(cè)方式，大致可分為四類：一類通過procfs下的進(jìn)程目錄信息，第二類通過系統(tǒng)調(diào)用函數(shù)， 第三類通過前兩類組合方式，第四類通過爆力破解(不推薦)。

tab_test[TST_PROC].func = checkproc;  
   tab_test[TST_CHDIR].func = checkchdir;  
   tab_test[TST_OPENDIR].func = checkopendir;  
   tab_test[TST_READDIR].func = checkreaddir;  
   tab_test[TST_GETPRIO].func = checkgetpriority;  
   tab_test[TST_GETPGID].func = checkgetpgid;  
   tab_test[TST_GETSID].func = checkgetsid;  
   tab_test[TST_GETAFF].func = checksched_getaffinity;  
   tab_test[TST_GETPARM].func = checksched_getparam;  
   tab_test[TST_GETSCHED].func = checksched_getscheduler;  
   tab_test[TST_RR_INT].func = checksched_rr_get_interval;  
   tab_test[TST_KILL].func = checkkill;  
   tab_test[TST_NOPROCPS].func = checkallnoprocps;  
   tab_test[TST_BRUTE].func = brute;  
   tab_test[TST_REVERSE].func = checkallreverse;  
   tab_test[TST_QUICKONLY].func = checkallquick;  
   tab_test[TST_SYS_INFO].func = checksysinfo;  
   tab_test[TST_SYS_INFO2].func = checksysinfo2;  
   tab_test[TST_SYS_INFO3].func = checksysinfo3; 

從名字上可以看出，unhide使用chdir,opendir,readdir,getpriority,getpgid,getsid,sched_getaffinity,kill,sysinfo等libc函數(shù)。

下面分別從三類中各選擇一種檢測(cè)方式分析。

2. procfs檢測(cè)

抽取checkreaddir檢測(cè)分析：

• 遍歷/proc目錄, 子文件名如果是數(shù)字，代表是一個(gè)進(jìn)程pid
• 讀取進(jìn)程狀態(tài)task目錄(/proc/pid/task)， 獲取各子線程號(hào)
• 通過ps命令查找是否存在該線程
• 對(duì)比差異，不存在判斷為隱藏進(jìn)程

procdir = opendir("/proc");  
dirproc = readdir(procdir));  
taskdir = opendir(task);  
dir = readdir(taskdir)  
checkps(procpids,PS_THREAD) 

該類方法能檢測(cè)出對(duì)第二種無效。

3. syscall檢測(cè)

抽取checkgetsid檢測(cè)分析:

max_pid通過讀取 /proc/sys/kernel/pid_max獲取：

• 從1到max_pid遍歷進(jìn)程, 通過getsid返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過ps命令查找是否存在該進(jìn)程
• 再次通過getsid確認(rèn)進(jìn)程存活狀態(tài)，防止在執(zhí)行ps這時(shí)間內(nèi)，進(jìn)程退出了
• 對(duì)比差異，不存在判斷為隱藏進(jìn)程

ret = getsid(syspids) 
checkps(syspids,PS_PROC | PS_THREAD); 
ret = getsid(syspids) 

該類方法都能檢測(cè)上述兩種隱藏進(jìn)程方式。

4. compund檢測(cè)

抽取checkallquick檢測(cè)分析：

• 從1到max_pid遍歷進(jìn)程
• 通過kill返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過getpriority返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過getpgid返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過getsid返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過sched_getaffinity返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過sched_getparam返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過sched_getscheduler返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過sched_rr_get_interval返回值和錯(cuò)誤碼探測(cè)進(jìn)程存活狀態(tài)
• 通過chdir,opendir讀取進(jìn)程目錄(/proc/pid)
• 通過ps命令查找是否存在該進(jìn)程
• 再次通過kill確認(rèn)進(jìn)程存活狀態(tài)，防止在執(zhí)行ps這時(shí)間內(nèi)，進(jìn)程退出
• 對(duì)比差異，只有進(jìn)程不存在(found=0)或者進(jìn)程經(jīng)過11項(xiàng)檢測(cè)(found == 11)認(rèn)為是正常的，其余都判斷為隱藏進(jìn)程

ret = kill(syspids, 0); 
ret = getpriority(PRIO_PROCESS, syspids); 
ret = getpgid(syspids); 
ret = getsid(syspids); 
ret = sched_getaffinity(syspids, sizeof(cpu_set_t), &mask); 
ret = sched_getparam(syspids, &param); 
ret = sched_getscheduler(syspids); 
statstatusproc = stat(directory, &buffer); 
statusdir = chdir(directory); 
dir_fd = opendir(directory) ; 
checkps(syspids,PS_PROC | PS_THREAD) 
ret = kill(syspids, 0); 
if (found_killbefore == found_killafter) { 
     if ( ! ((found_killbefore == 0 && found == 0) || 
             (found_killbefore == 1 && found == 11)) ) { 
        printbadpid(syspids); 
     } 

三、應(yīng)用層隱藏端口檢測(cè)

核心思想：通過libc系統(tǒng)函數(shù)bind,listen盲測(cè)端口

1. tcp隱藏端口檢測(cè)

• 從1到65535遍歷端口
• 創(chuàng)建一個(gè)基于tcp協(xié)議SOCK_STREAM的socket
• 通過bind返回值和錯(cuò)誤碼探測(cè)端口狀態(tài)
• 如果被占用，通過listen 錯(cuò)誤碼是EADDRINUSE確定端口占用
• 通過ss或netstat命令過濾tcp協(xié)議，查看端口情況
• 對(duì)比差異，確認(rèn)該端口為隱藏端口

socketsocket_desc=socket(AF_INET,SOCK_STREAM,0); 
bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
listen(socket_desc,1); 
if(EADDRINUSE == errno) { 
    checkoneport(i, tcpcommand, TCP); 
} 

2. udp隱藏端口檢測(cè)

相比tcp, udp使用SOCK_DGRAM的socket， 缺少listen這步，其余檢測(cè)步驟類似

socketsocket_desc=socket(AF_INET,SOCK_DGRAM,0); 
bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
if(EADDRINUSE == errno) { 
    checkoneport(u, udpcommand, UDP); 
} 

四、結(jié)論

本文提供的通過應(yīng)用層方式檢測(cè)rootkit中最常見的隱藏進(jìn)程和端口，風(fēng)險(xiǎn)性小，可無縫集成到主機(jī)安全agent中。